Примечания к выпуску Django 1.11.27

Декабрь 18, 2019

Django 1.11.27 исправляет проблему безопасности и ошибку потери данных в 1.11.26.

CVE-2019-19844: Потенциальный взлом учетной записи через форму сброса пароля

Предоставив соответствующим образом составленный адрес электронной почты, использующий символы Unicode, который при сравнении совпадает с существующим адресом электронной почты пользователя, когда он приведен к нижнему регистру для сравнения, злоумышленник может получить токен сброса пароля для соответствующей учетной записи.

Чтобы избежать этой уязвимости, запросы на сброс пароля теперь сравнивают отправленный email с помощью более строгого, рекомендованного алгоритма сравнения двух идентификаторов без учета регистра из Unicode Technical Report 36, section 2.11.2(B)(2). В случае совпадения письмо, содержащее маркер сброса, будет отправлено на зарегистрированный адрес электронной почты, а не на отправленный адрес.

Исправления

  • Исправлена возможность потери данных в SplitArrayField. При использовании с ArrayField(BooleanField()) все значения после первого значения True помечались как проверенные вместо сохранения пройденных значений (#31073).
Вернуться на верх